ISACA - Certified Information Systems Auditor (CISA)  

ISACA - Certified Information Systems Auditor (CISA) - Lehrplan

Das CISA Firebrand Training bietet einen eingehenden, von einem Trainer geleiteten Kurs, um sicherzustellen, dass Sie die Grundlagen erlernen, die für einen Informationssystem-Auditor wichtig sind.Firebrand Training bietet eingehende, von einem Trainer geleitete Kurse, um sicherzustellen, dass Sie Grundlagenwissen erwerben, praktische Fertigkeiten erlernen und Ihre Zertifizierung verdienen. Sie werden gezielt darauf vorbereitet, Ihre neuen Kenntnisse sofort im Beruf einzusetzen. 

Der Kurslehrplan bereitet Sie auf das aktuelle Examen von 2007 vor

Inhaltsbereich 1: IS-Audit-Prozess

• ISACA IS Auditing-Standards, Richtlinien und Verfahren und Kodex professioneller Ethik
• IS Auditing-Praktiken und -Techniken
• Techniken zur Erfassung von Information und Aufbewahrung von Nachweisen (z. B. Beobachtung, Anfrage, Gespräch, CAATs, elektronische Medien)
• Der Nachweis-Lebenszyklus (z. B. Erfassung, Schutz, Aufbewahrungskette)
• Kontrollziele und auf IS bezogene Kontrollen (z. B. CobiT)
• Risikobeurteilung im Audit-Kontext
• Auditing-Planung und Verwaltungstechniken
• Reporting- und Kommunikationstechniken (z. B. Ermöglichung, Verhandlung, Konfliktlösung)
• Kontroll-Selbstbeurteilung (CSA)
• Kontinuierliche Audit-Techniken

Inhaltsbereich 2: IT-Governance

• Der Zweck von IT-Strategien, Ansätzen, Standards und Verfahren für eine Organisation und die jeweils wesentlichen Elemente
• IT-Governance-Rahmenwerke
• Die Prozesse für die Entwicklung, Implementierung und Aufrechterhaltung von IT-Strategien, Ansätzen, Standards und Verfahren (z. B. Schutz der Informationswerte, betriebliche Kontinuität und Notfall-Wiederherstellung, Lebenszyklus-Management für Systeme und Infrastruktur, IT-Dienstleistungsbereitstellung und Support)
• Strategien und Ansätze für das Qualitätsmanagement
• Organisationsstruktur, Aufgaben und Verantwortungen in Verbindung mit der Benutzung und dem Management von IT
• Allgemein akzeptierte IT-Standards und Richtlinien
• Unternehmens-IT-Architektur und ihre Implikationen für langfristige strategische Richtungen
• Methodologien und Tools für das Risikomanagement
• Die Benutzung von Kontroll-Rahmenwerken (z. B. CobiT, COSO, ISO 17799)
• Die Benutzung von Reifungs- und Prozessverbesserungsmodellen (z. B. CMM, CobiT)
• Fremdvergabestrategien, Prozess- und Vertragsmanagementpraktiken 2.12 Praktiken zur Überwachung und Berichterstattung von IT-Leistung (z. B. balanced Scorecards, Hauptleistungsindikatoren [KPI])
• Relevante gesetzliche und behördliche Angelegenheiten (z. B. Privatsphäre, geistiges Eigentum, Anforderungen an die Unternehmens-Governance)
• IT-Personal-Management
• IT-Ressourcen-Investitions- und Zuweisungspraktiken (z. B. Portfoliomanagement Kapitalrendite (ROI))

Inhaltsbereich 3: Lebenszyklusmanagement von Systemen und Infrastruktur

• Vorteilsmanagement-Praktiken (z. B. Machbarkeitsstudien, Geschäftsfälle)
• Projekt-Governance-Mechanismen (z. B. Lenkungsausschuss, Projekt-Aufsichtsrat)
• Projektmanagement-Praktiken, Tools und Kontroll-Rahmenwerke
• Auf Projekte angewandte Risikomanagement-Praktiken
• Erfolgskriterien und Risiken von Projekten
• Konfigurations-, Änderungs- und Freigabemanagement in Bezug auf die Entwicklung und Aufrechterhaltung von Systemen und/oder Infrastruktur
• Kontrollziele und -techniken, welche die Vollständigkeit, Richtigkeit, Gültigkeit und Autorisierung von Transaktionen und Daten in IT-Systemanwendungen gewährleisten.
• In Verbindung mit Daten, Anwendungen und Technologie stehende Unternehmensarchitektur (z. B. verteilte Anwendungen, webbasierte Anwendungen, Web-Services, n-tier-Anwendungen)
• Anforderungsanalyse und Management-Praktiken (z. B. Anforderungsverifizierung, Rückführbarkeit, Marktlückenanalyse)
• Akquisitions- und Vertragsmanagementprozesse (z. B. Beurteilung von Lieferanten, Vorbereitung von Verträgen, Lieferantenmanagement, Drittverwahrung)
• Methodologien und Tools zur Systementwicklung und ein Verständnis ihrer Stärken und Schwächen (z. B. flexible Entwicklungspraktiken, Prototypisierung, rapide Anwendungsentwicklung [RAD], objektorientierte Designtechniken)
• Methoden zur Qualitätssicherung
• Das Management der Testprozesse (z. B. Teststrategien, Testpläne, Testumgebungen, Eintritts- und Austrittskriterien)
• Tools, Techniken und Verfahren für die Datenumwandlung
• System- und/oder Infrastruktur-Veräußerungsverfahren
• Software- und Hardware-Zertifizierungs- und Akkreditierungspraktiken
• Prüfziele und -methoden nach der Implementierung (z. B. Projektabschluss, Vorteilsrealisierung, Leistungemessung)
• Einsatzpraktiken für Systemmigration und Infrastruktur

Inhaltsbereich 4: IT-Dienstleistungsbereitstellung und Support

• Leistungsumfangs-Managementpraktiken
• Best Practices für das Betriebsmanagement (z. B. Aufgabengebietsplanung, Netzwerkservices-Management, Präventivwartung)
• Überwachungsprozesse, Tools und Techniken für Systemleistungsüberwachungsprozesse (z. B. Netzwerkanalyzer, Systemeinsatzberichte, Belastungsausgleich)
• Die Funktionalität von Hardware und Netzwerkkomponenten (z. B. Router, Schalter, Firewalls, Peripheriegeräte)
• Datenbankverwaltungspraktiken
• Die Funktionalität von Systemsoftware, einschließlich Betriebssystemen, Dienstprogrammen und Datenbankmanagementsystemen
• Kapazitätsplanung und Überwachungstechniken
• Prozesse zur Verwaltung von geplanten und von Notfalländerungen an den Produktionssystemen und/oder der Infrastruktur, einschließlich Änderungs-, Konfigurations-, Freigabe- und Patch-Managementpraktiken
• Zwischenfall-/Problemmanagementpraktiken (z. B. Helpdesk, Eskalationsverfahren, Verfolgung)
• Softwarelizensierungs- und Bestandspraktiken
• Systemstabilitäts-Tools und -techniken (z. B. fehlertolerante Hardware, Eliminierung des Single-Point-of-Failure, Bündelung)

Inhaltsbereich 5: Schutz der Informationsvermögenswerte

• Die Techniken für Design, Implementierung und Überwachung von Sicherheit (z. B. Gefahr- und Risikobeurteilung, Sensitivitätsanalyse, Geheimhaltungsbeurteilung)
• Logische Zugriffskontrolle zur Identifizierung, Authentifizierung und Beschränkung von Benutzern autorisierter Funktionen und Daten (z. B. dynamische Passworte, Herausforderung/Reaktion, Menüs, Profile)
• Logische Zugriffssicherheitsarchitektur (z. B. Einzelanmeldung, Benutzer-Identifizierungsstrategien, Identitätsmanagement)
• Angriffsmethoden und -techniken (z. B. Hacken, Spoofing, Trojaner, Denial-of-Service, Spamming)
• Prozesse in Verbindung mit der Überwachung und der Reaktion auf Sicherheitszwischenfälle (z. B. Eskalationsverfahren, Notfall-Reaktionsteam)
• Vorrichtungen, Protokolle und Techniken für Netzwerk- und Internetsicherheit (z. B. SSL, SET, VPN, NAT)
• Konfiguration, Implementierung, Betrieb und Wartung von Systemen zum Erkennen von Eindringlingen und Firewalls
• Verschlüsselungsalgorithmustechniken (z. B. AESRSA)
• Komponenten der Public-Key-Infrastruktur (PKI) (z. B. Zertifizierungsbehörden, Registrierungsbehörden) und digitale Unterschriftstechniken
• Virendetektions-Tools und -Kontrolltechniken
• Sicherheitstest- und Beurteilungstools (z. B. Penetrationstest, Schwachstellenscan)
• Umweltschutzpraktiken und -vorrichtungen (z. B. Brandunterdrückung, Kühlsysteme, Wassersensoren)
• Physische Sicherheitssysteme und -praktiken (z. B. Biometrie, Zugriffskarten, Chiffriersperren, Token)
• Datenklassifizierungsschemas (z. B. öffentlich, vertraulich, privat und empfindliche Daten)
• Voice-Kommunikationssicherheit (z. B. Voice over IP)
• Die Prozesse und Verfahrensweisen für die Speicherung, das Abrufen, den Transport und die Beseitigung vertraulicher Informationswerte
• Kontrollen und Gefahren in Verbindung mit der Benutzung tragbarer und drahtloser Geräte (z. B. PDAs, USB-Geräte, Bluetooth-Geräte)

Inhaltsbereich 6: Notfallplanung und betriebliches Kontinuitätsmanagement

• Praktiken zur Sicherung, Speicherung, Aufrechterhaltung, Retention und Wiederherstellung von Daten
• Behördliche, gesetzliche, vertragliche und versicherungstechnische Angelegenheiten in Zusammenhang mit betrieblicher Kontinuität und Notfallplanung
• Betriebs-Auswirkungsanalyse (BIA)
• Die Entwicklung und Aufrechterhaltung der betrieblichen Kontinuität und Notfallplanung
• Testansätze und -methoden für betriebliche Kontinuität und Notfallplanung
• Personalmanagementpraktiken in Verbindung mit betrieblicher Kontinuität und Notfallplanung (z. B. Evakuierungspläne, Reaktionsteams)
• Prozesse zur Implementierung der betrieblichen Kontinuitäts- und Notfallplanung
• Arten alternierender Verarbeitungsstandorte und -methoden, die zur Überwachung vertraglicher Abmachungen benutzt werden (z. B. Hot Sites, Warm Sites, Cold Sites)